Conclusion

Le Centre Informatique et de Calcul (C.I.C.) est une institution de l'Université de Lomé ayant pour mission d'apporter un appui logistique et technique en informatique à l'administration de l'université. C'est aussi un cadre de formation en informatique dans les spécialités Génie

Logiciel et Maintenance et Réseaux Informatiques. BANKeVI GROUPE est une société qui

conçoit et gère des solutions qui améliorent l'efficacité des organisations et le pouvoir d'achat des individus. Elle accueille aussi des stagiaires en fin de formation afin de leur faciliter l'insertion en entreprise. Dans le chapitre suivant, l'étude et la critique de l'existant de

BANKeVI GROUPE sera faite.

10

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

11

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

2.1. Introduction

Dans ce chapitre, l'étude et la critique de l'existant de la société BANKeVI GROUPE seront

abordées afin de faire ressortir la problématique et les objectifs à atteindre. Ensuite, la méthodologie ainsi que les résultats attendus seront présentés.

2.2. Etude et critique de l'existant

Pour débuter ce travail, il serait nécessaire d'avoir une idée claire et précise sur l'existant de BANKeVI GROUPE, par rapport à son réseau informatique et au matériel informatique à sa

disposition. Ensuite, une critique sera faite en fonction des besoins pour la réalisation de notre projet.

2.2.1. Etude de l'existant

Cette étape permettra de rassembler des informations sur l'existant de la société afin d'avoir une connaissance bien définie du travail à effectuer.

2.2.1.1. Réseau informatique

La société dispose d'un réseau local auquel se connectent tous ses membres. Un point d'accès

wifi permet à toute l'équipe de BANKeVI GROUPE se trouvant dans ce réseau local d'avoir accès à internet. La connexion internet est fournie par l'opérateur TOGOCOM via une liaison ADSL (Asymetric Digital Subscriber Line, en Anglais). Cette connexion à internet permet aussi d'accéder, depuis le local de la société, à son serveur qui est hébergé en ligne. Ce serveur est destiné au déploiement des projets de l'entreprise à savoir les sites web, les applications, etc. La société dispose également d'une zone démilitarisée. Une zone démilitarisée ou DMZ (Demilitarized Zone, en Anglais) est un sous-réseau séparé du réseau local et isolé de celui d'internet par un pare-feu. Ce sous-réseau contient les machines susceptibles d'être accédées

depuis internet, et qui n'ont pas besoin d'accéder au réseau local [7]. La DMZ de BANKeVI GROUPE comporte un serveur de noms de domaine (DNS) et un serveur de vidéoconférence (Jitsi). La figure 5 présente l'architecture réseau actuelle de la société :

12

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

13

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 5 : Architecture réseau actuelle de BANKeVI GROUPE

2.2.1.2. Matériel informatique

La société dispose de deux ordinateurs, la première machine de marque HP destinée aux travaux du secrétaire et la seconde machine destinée au comptable. Le reste de l'équipe dispose chacun d'ordinateur portable personnel.

Un routeur pfsense est aussi présent au sein de la société et tourne sur un serveur HPE ProLiant DL360 Gen9. Il permet d'interconnecter entre eux les différents réseaux, à savoir le réseau local LAN (Local Area Network), la DMZ et internet, assurant ainsi le routage des paquets d'une interface réseau vers une autre. Un pare-feu est également configuré sur ce routeur. Il permet de filtrer les paquets qui entrent et sortent tout d'abord du réseau local vers la DMZ et internet, ensuite de la DMZ vers le réseau local et internet, et enfin d'internet vers la DMZ et le réseau local.

L'entreprise dispose aussi d'un serveur DNS pour la résolution des noms de domaine internet en adresse IP (Internet Protocol, en Anglais) ou autres enregistrements et d'un serveur Jitsi

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

utilisé par les applications de vidéoconférence de l'entreprise. Le tableau 1 présente leurs caractéristiques :

Tableau 1 : Serveurs de BANKeVI GROUPE

2.2.2. Critique de l'existant

En se basant sur l'architecture réseau, on note un certain nombre d'insuffisances en matière de sécurité :

· l'inexistence de Systèmes de Détection et/ou de Prévention d'Intrusion (I.D.S. / I.P.S.) ;

· l'absence de surveillance des activités du réseau ;

· l'absence d'un système qui permettra de gérer les évènements et les informations au sein du réseau.

L'absence de services de sécurité présente un réel danger pour l'entreprise et son fonctionnement car le système est semblable à un bâtiment renfermant des objets de grandes valeurs mais ne possédant pas des agents de sécurité qui surveillent les entrées, sorties et les

14

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

15

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

activités à l'intérieur du bâtiment. De plus, étant donné que la majorité des attaques informatiques proviennent de sources externes, la société risque d'être exposée à celles-ci. Il est donc nécessaire qu'un système de sécurité soit mis en place dans la société. Ce système la protégera en réduisant le risque de compromission du système informatique, tant depuis le réseau interne qu'en dehors de celui-ci. Pour cela, il s'avère nécessaire d'équiper la société d'un système qui lui permettra d'avoir une vue d'ensemble sur chaque équipement et matériel du réseau, de surveiller en temps réel les activités qui s'effectuent sur chacun d'eux afin de détecter les éventuelles attaques et réagir rapidement et avec précision face à ces attaques.

2.3. Problématique

La sécurité informatique est devenue l'une des préoccupations majeures des entreprises de notre ère. Les attaques informatiques devenant de plus en plus grandissantes, les entreprises ne se demandent plus si elles subiront des attaques. Elles se demandent plutôt quand ces dernières

surviendront. Malgré quelques dispositions prises par BANKeVI GROUPE, le réseau n'est pas

à l'abri d'intrusions ou de menaces d'attaques connues des réseaux d'entreprise, car en sécurité informatique, le risque zéro n'existe pas ; une sureté totale ne pouvant pas être garantie. Pour assurer la sécurité des systèmes informatiques, les pare-feu comme celui mis en place dans le

réseau de BANKeVI GROUPE permettent de réduire partiellement ces risques. Cependant un réseau protégé par un pare-feu demeure tout de même pénétrable vu qu'une menace peut accéder au réseau à travers lui, ce qui est un problème important à gérer. Mais ce n'est pas tout. Archiver les traces, journaux et autres données circonstancielles issus des équipements de sécurité, assurer la corrélation entre les différents évènements produits au sein d'une structure, générer des tableaux de bords et des rapports suite aux différents évènements : telles sont les différentes tâches qu'effectuent de manière distincte la plupart des systèmes de sécurité. L'inquiétude est que le fait de réaliser ces tâches distinctes demande beaucoup de travail. Il va falloir par exemple analyser les évènements de chaque équipement pour ensuite les fusionner afin d'avoir une vue d'ensemble de ces évènements. Cela amène à se poser des questions comme celles-ci : Comment répondre en une fois à ces différentes tâches et besoins fondamentaux à travers un seul système au lieu de plusieurs ? Comment savoir qui attaque le système informatique de l'entreprise ? Quand est-ce-que l'attaque a-t-elle eut lieu ? Comment

l'attaque a été effectuée ? Et quoi faire en cas d'intrusion ? Comment BANKeVI GROUPE

peut se protéger des intrusions et/ou des menaces d'attaques afin de protéger ses informations confidentielles ? Comment avoir une gestion centralisée de tous les équipements de sécurité (pare-feu, systèmes de détection et de prévention d'intrusion, etc...) de l'entreprise et de tout son système d'information ?

Dans cette optique, des recherches ont été effectuées afin de proposer un système qui permettra à la fois de collecter en temps réel les évènements issus des différents matériels présents au sein de la société, de surveiller les activités ayant lieu dans le réseau afin de détecter les éventuelles intrusions et menaces pour protéger la société contre celles-ci.

16

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

2.4. Objectifs du projet

Le projet à réaliser contient un objectif général et des objectifs spécifiques décrits ci-dessous :

2.4.1. Objectif général

L'objectif général du projet est d'améliorer le système de sécurité informatique de BANKeVI

GROUPE, à travers la mise en place d'un système qui puisse gérer les informations et évènements de sécurité, mais qui soit libre et à code source ouvert.

2.4.2. Objectifs spécifiques

Les objectifs spécifiques, qui aideront à atteindre l'objectif général sont entre autres :

· être en mesure de collecter les traces des évènements qui surviennent dans le système d'information, les corréler pour en proposer une vision globale facile à exploiter ;

· être en mesure d'avoir une vue d'ensemble et une gestion centralisée des équipements informatiques présents au sein du système informatique de l'entreprise ;

· être capable de détecter les tentatives d'intrusion sur le système d'information.

2.5. Résultats attendus

A la fin du projet, le système adopté devra permettre de :

· avoir une vue d'ensemble et une gestion centralisée de tous les équipements informatiques de la société ;

· disposer de rapports relatifs aux évènements s'étant produits dans le système d'information de la société ;

· avoir des alertes de sécurité après combinaison des données des différents systèmes de sécurité ;

· surveiller en continu le système d'information de l'entreprise, en particulier au niveau sécuritaire ;

· optimiser la sécurité du système informatique de la société.

2.6. Périmètre du projet

Notre projet s'inscrit dans le cadre d'une étude pour une éventuelle implémentation dans le cas où les résultats obtenus lors de l'étude sont concluants, c'est pour cela que toutes les fonctionnalités (résultats attendus) du projet doivent être implémentées. Notre projet a pour but

d'assurer la sécurité de BANKeVI GROUPE, mais peut également être implémenté dans

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

d'autres institutions, entreprises ou organisations qui désirent sécuriser leur système informatique.

2.7. Méthodologie

Après une étude et analyse poussée des objectifs et des résultats attendus, l'implémentation d'un système de gestion des informations et évènements de sécurité ou S.I.E.M. (Security Information and Event Management, en Anglais) retiendra l'attention. La démarche méthodologique suivie est celle-ci : après une recherche bibliographique pour l'étude des généralités, des solutions existantes et des différents outils nécessaires, nous avons fait une analyse de l'architecture réseau de l'entreprise en vue d'en proposer une nouvelle pour l'implémentation de la solution retenue. Enfin, nous avons mis en place une solution test fonctionnelle dans un environnement virtuel.

2.8. Conclusion

Dans ce chapitre, les problèmes de sécurité auxquels fait face le réseau informatique de

BANKeVI GROUPE ont été présentés. Pour remédier aux problèmes posés, la mise en place d'un système de gestion d'informations et d'évènements de sécurité a été choisie. Les résultats attendus du projet et la démarche méthodologique à suivre ont été exposés. Le prochain chapitre fera un bref aperçu sur les réseaux informatiques, la sécurité informatique, les menaces et les attaques que subissent les systèmes informatiques de nos jours ainsi que les mesures de protection.

17

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

18

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

19

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.1. Introduction

Les systèmes d'information sont aujourd'hui de plus en plus ouverts sur Internet. Cette ouverture, a des avantages. Cependant, elle pose un problème majeur : le nombre croissant d'attaques que subissent ces systèmes. La mise en place d'une politique de sécurité autour de ces systèmes est donc primordiale. Dans ce chapitre, les méthodes de protection efficace des systèmes face aux menaces seront abordées. Mais avant cela, il est important, pour comprendre le rôle précis de ces systèmes, de faire un rappel sur les réseaux informatiques, les menaces, les risques, les principales attaques et les moyens de protection.

3.2. Les réseaux informatiques

Tout d'abord, une définition des réseaux sera présentée, ainsi que les différents protocoles et topologies des réseaux existants.

3.2.1. Définition

Le réseau informatique est l'interconnexion d'équipements informatiques en vue d'échange et du partage des ressources (disque dur, imprimantes, données, etc.) et cet ensemble est géré par des logiciels [8]. Le terme générique réseau définit un ensemble d'entité (objet, personnes, ...) interconnectées les unes avec les autres. Un réseau permet ainsi de faire circuler des éléments matériels ou immatériels entre chacune de ses entités selon des règles bien définies [9]. Le réseau est l'ensemble des ordinateurs ou périphériques qui sont connectés les uns aux autres.

3.2.2. Les protocoles réseaux

Comme définition générale, un protocole réseau est un langage utilisé pour communiquer entre les machines dans un réseau informatique. On peut citer le protocole ICMP (Internet Control Message Protocol, en Anglais) qui permet de contrôler les erreurs de transmission et aide au débogage réseau, le protocole IP (Internet Protocol, en Anglais) qui est le protocole de base du réseau Internet, le protocole TCP (Transmission Control Protocol, en Anglais) qui permet aux applications de communiquer de façon sûre (grâce au système d'accusés de réception ACK) indépendamment des couches inférieures, le protocole UDP (User Datagram Protocol, en Anglais) qui permet l'envoi des messages appelés datagrammes en évitant la surcharge du réseau, entre autres. Le protocole IP est le plus courant des protocoles utilisés.

3.2.3. Faiblesses des réseaux

Les faiblesses des réseaux proviennent essentiellement du fait que les protocoles réseaux n'aient pas été conçus avec une prise en compte des problèmes sécuritaires dès le départ. A cela se

20

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

rajoute les faiblesses issues de l'erreur humaine. Ainsi, on peut classifier les faiblesses réseaux comme suit [10] :

· faiblesses des protocoles : les protocoles réseaux n'ont pas été conçus pour contrecarrer les attaques de sécurité potentielles ; ainsi les protocoles réseaux ne s'appuient pas sur une couche "sécurité" et offrent donc plusieurs vulnérabilités ;

· faiblesses d'authentification : la majorité des protocoles ne s'appuient sur aucun mécanisme d'authentification. Ceci facilite les attaques se basant sur l'usurpation d'identité comme « IP Spoofing » ;

· faiblesses d'implémentation : certains protocoles sont mal implémentés ou mal programmés ce qui offre certaines vulnérabilités exploitables comme TCP SYN ou « Ping-of-the-death » ;

· faiblesses de configuration : beaucoup d'attaques sont dues à l'erreur humaine qui se manifeste, par exemple à travers une mauvaise configuration de pare-feu, des serveurs, des routeurs, ou des commutateurs.

3.3. La sécurité informatique

La sécurité informatique étant une notion très abordée de nos jours, il va falloir définir ce que c'est, évoquer ses différents aspects, énoncer ses objectifs et dire brièvement de ce que c'est qu'une menace informatique.

3.3.1. Définition

Du latin « securitas », qui veut dire absence de soucis, tranquillité de l'âme, et qui est dérivé de « securus », qui signifie exempt de soucis, exempt de crainte, tranquille, la sécurité est définie selon le dictionnaire Larousse comme étant la situation dans laquelle quelqu'un, quelque chose n'est exposé à aucun danger, à aucun risque, en particulier d'agression physique, d'accidents, de vol, de détérioration. En informatique, la sécurité des systèmes d'information est l'ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place des moyens visant à empêcher l'utilisation non-autorisée de l'information. On peut aussi la définir comme étant l'ensemble des moyens mis en oeuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou intentionnelles.

3.3.2. Différents aspects de la sécurité

La sécurité des systèmes d'information s'effectue sous plusieurs aspects. Ainsi on parlera de sécurité physique, de sécurité logicielle, de l'aspect humain et organisationnel :

· parlant de la sécurité physique ou matérielle, le but sera de sécuriser l'accès aux infrastructures matérielles comme les serveurs, les commutateurs et les routeurs à travers un contrôle d'accès ou des salles blindées par exemple ;

21

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

· pour ce qui concerne la sécurité logicielle, elle consistera à sécuriser les données pour que seules les personnes qui sont destinées à les consulter et les traiter puissent y avoir accès. Pour cela, il va falloir procéder par authentification par exemple ;

· l'aspect humain et organisationnel consiste à former les utilisateurs sur les notions de sécurité et les impacts d'une compromission de la sécurité des systèmes informatiques. Cela permettra de limiter des comportements à risque. D'un autre côté, il va falloir que le responsable sécurité se forme et s'informe sur les nouvelles attaques et failles en vue de maintenir son système régulièrement à jour.

3.3.3. Objectifs de la sécurité informatique

On appelle objectif de sécurité, le niveau de risque acceptable qu'on souhaite atteindre en mettant en place une mesure ou une politique de sécurité. La sécurité des systèmes d'information vise les objectifs suivants :

· Disponibilité

Cet objectif stipule que le système doit fonctionner sans faille durant les plages d'utilisation prévues et garantir l'accès aux services et ressources installés avec le temps de réponse attendu.

· Confidentialité

Cet objectif signifie que seules les personnes autorisées ont accès aux informations qui leur sont destinées. Tout accès indésirable doit être empêché.

· Intégrité

L'intégrité exige que les données demeurent celles que l'on attend, et ne doivent pas être altérées de façon illicite ou malveillante. Les éléments considérés doivent donc être exacts et complets.

Ces trois objectifs sont les fondamentaux de la sécurité informatique et forment ce qu'on appelle la triade de sécurité. A ces trois objectifs s'ajoutent :

· L'Authentification

L'authentification pour un système informatique est un processus permettant au système de s'assurer de la légitimité de la demande d'accès faite par une entité (être humain ou un autre système) afin d'autoriser l'accès de cette entité à des ressources du système (systèmes, réseaux, applications...)

· La non-répudiation

C'est la garantie qu'aucune entité ne peut nier son implication dans une action à laquelle elle a participé.

22

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

· La traçabilité

C'est la garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.

3.3.4. Les menaces

Le risque en termes de sécurité informatique, est la probabilité qu'une attaque survienne. Il est généralement caractérisé par l'équation suivante :

menace x vulnérabilité

La menace (ou « threat » en anglais) est toute cause potentielle d'incident. Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque, tandis que la vulnérabilité (« vulnerability » en anglais), appelée parfois faille ou brêche représente le niveau d'exposition face à la menace. Elle peut être une erreur de conception (bug) pouvant altérer la sécurité du système. On peut trouver des vulnérabilités au niveau du système d'exploitation, au niveau applicatif ou bien au niveau du réseau. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi.

3.4. Les principales attaques

Une attaque informatique est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du système et généralement préjudiciables. Les attaques touchent généralement trois composantes du système à savoir la couche réseau, le système d'exploitation et la couche applicative.

3.4.1. Attaque des réseaux

a) « Man in the middle »

Encore connus sous le nom de « l'attaque de l'homme du milieu », c'est une attaque qui a pour but d'intercepter les communications entre deux parties, sans que ni l'un ni l'autre ne puisse se douter que le canal de communication entre elles a été compromis.

23

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

b) Déni de Service (DoS)

Une « attaque par déni de service » (Denial of Service en anglais), est une attaque ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser. Il peut s'agir de :

· l'inondation d'un réseau afin d'empêcher son fonctionnement ;

· la perturbation des connexions entre deux machines, empêchant l'accès à un service particulier ;

· l'obstruction d'accès à un service à une personne en particulier.

L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriel dans une entreprise. Même si seulement 15 % des entreprises en ont été victimes, selon l'étude TELUS-Rotman, une telle cyberattaque peut causer de lourdes pertes financières si elle vise un site web transactionnel par exemple [11].

c) Usurpation d'adresse IP

« L'usurpation d'adresse IP » (également appelé mystification ou en anglais « IP spoofing ») est une technique consistant à remplacer l'adresse IP de l'expéditeur d'un paquet IP par l'adresse IP d'une autre machine. Cette technique permet ainsi à un pirate d'envoyer des paquets anonymement. Il ne s'agit pas pour autant d'un changement d'adresse IP, mais d'une mascarade de l'adresse IP au niveau des paquets émis. Le but peut être de masquer sa propre identité lors d'une attaque d'un serveur, ou usurper en quelque sorte l'identité d'un autre équipement du réseau pour bénéficier des services auxquels il a accès.

3.4.2. Attaques du système d'exploitation

a) L'écran bleu de la mort

Elle se réfère à l'écran affiché par le système d'exploitation Windows lorsqu'il est au point critique d'une erreur fatale. En général, la vue de cet écran signifie que l'ordinateur est devenu complètement inutilisable. Pour certains « Black Hat », leur but est d'arriver à provoquer cet « écran bleu de la mort » sur plus d'ordinateurs possibles.

b) « Fork Bomb »

Une « fork bomb » fonctionne en créant un grand nombre de processus très rapidement afin de saturer l'espace disponible dans la liste des processus gardée par le système d'exploitation. Si la table des processus se met à saturer, aucun nouveau programme ne peut démarrer tant qu'aucun autre ne se termine. Même si cela arrive, il est peu probable qu'un programme utile démarre étant donné que les instances de la bombe attendent chacune d'occuper cet emplacement libre. Non seulement les « fork-bombs » utilisent de la place dans la table des processus, mais elles utilisent chacune du temps processeur et de la mémoire. En conséquence,

24

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

le système et les programmes tournant à ce moment-là ralentissent et deviennent même impossibles à utiliser.

3.4.3. Attaques applicatives

Les attaques applicatives se basent sur des failles dans les programmes utilisés, ou encore des erreurs de configuration.

a) Exploit

Un « exploit » est un élément de programme permettant à un individu ou un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système d'exploitation ou dans un logiciel que ce soit à distance ou sur la machine sur laquelle cet exploit est exécuté ; ceci, afin de prendre le contrôle d'un ordinateur ou d'un réseau, de permettre une augmentation de privilège d'un logiciel ou d'un utilisateur, ou encore d'effectuer une attaque par déni de service.

b) Dépassement de tampon

Un « dépassement de tampon » est un bug par lequel un processus, lors de l'écriture dans un tampon, écrit à l'extérieur de l'espace alloué au tampon, écrasant ainsi des informations nécessaires au processus. Lorsque le bug se produit non intentionnellement, le comportement de l'ordinateur devient imprévisible. Il en résulte souvent un blocage du programme, voire de tout le système. Le bug peut aussi être provoqué intentionnellement et être exploité pour violer la politique de sécurité d'un système. Cette technique est couramment utilisée par les pirates.

3.5. Mise en place d'une politique de sécurité réseau

Une chose est de connaitre les différentes attaques qui existent, une autre est de prendre des mesures pour se protéger contre ces attaques. Pour y arriver, il va falloir définir une politique de sécurité. Qu'est-ce que c'est qu'une politique de sécurité ? Quels sont ses objectifs ? Quels sont les différents types de politique de sécurité qui existent ? Les réponses à ces questions sont abordées dans la suite.

3.5.1. Définition

Une politique de sécurité réseau est un document générique qui définit les règles à suivre pour les accès au réseau informatique et pour les flux autorisés ou non, détermine comment les politiques sont appliquées et présente une partie de l'architecture de base de l'environnement de sécurité du réseau. La mise en place d'une politique de sécurité adéquate est essentielle à la bonne sécurisation des réseaux et systèmes d'information. Les politiques de sécurité sont à la base de l'infrastructure de sécurité d'une organisation. Toutefois, leur but n'est pas de garantir

25

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

une sécurité absolue du système, ce qui n'est pas évident vu qu'il n'existe pas de sécurité absolue. Leur but est plutôt de réduire les risques de compromission du système.

3.5.2. Objectif d'une politique de sécurité réseau

La définition d'une politique de sécurité n'est pas un exercice de style, mais une démarche de toute l'entreprise visant à protéger son personnel et ses biens d'éventuels incidents de sécurité dommageables pour son activité. La définition d'une politique de sécurité réseau fait intégralement partie de la démarche sécuritaire de l'entreprise. Elle s'étend à de nombreux domaines, dont les suivants :

· audit des éléments physiques, techniques et logiques constituant le système d'information de l'entreprise ;

· sensibilisation des responsables de l'entreprise et du personnel aux incidents de sécurité et aux risques associés ;

· formation du personnel utilisant les moyens informatiques du système d'information ;

· structuration et protection des locaux abritant les systèmes informatiques et les équipements de télécommunications, incluant le réseau et les matériels ;

· ingénierie et maîtrise d'oeuvre des projets incluant les contraintes de sécurité dès la phase de conception ;

· gestion du système d'information de l'entreprise lui permettant de suivre et d'appliquer les recommandations des procédures opérationnelles en matière de sécurité ;

· définition du cadre juridique et réglementaire de l'entreprise face à la politique de sécurité et aux actes de malveillance, 80% des actes malveillants provenant de l'intérieur de l'entreprise ;

· classification des informations de l'entreprise selon différents niveaux de confidentialité et de criticité.

3.5.3. Les différents types de politiques de sécurité

Une politique de sécurité réseau couvre les éléments suivants :

· sécurité de l'infrastructure : couvre la sécurité logique et physique des équipements et des connexions réseau, aussi bien internes que celles fournies par des fournisseurs d'accès internet (FAT) ;

· sécurité des accès : couvre la sécurité logique des accès locaux et distants aux ressources de l'entreprise, ainsi que la gestion des utilisateurs et de leurs droits d'accès au système d'informations de l'entreprise ;

· sécurité du réseau intranet face à Internet ou aux autres parties : couvre la sécurité logique des accès aux ressources de l'entreprise (Intranet) et l'accès aux ressources extérieures (Extranet).

26

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Pour résumer, la définition d'une politique de sécurité réseau vise à la fois à définir les besoins de sécurité de l'entreprise, à élaborer des stratégies de sécurité afin de protéger les biens les plus critiques et à définir le référentiel des contrôles de sécurité.

3.6. Les techniques de parade aux attaques

Les différentes techniques de parades aux attaques informatiques sont présentées dans cette rubrique afin de mieux protéger son système informatique.

3.6.1. La suite de sécurité IPsec

Les différents types de cryptographies présentées dans les sections précédentes sont utilisés dans divers protocoles de sécurité, tels qu'IPsec, SSH (Secure Shell), SSL (Secure Sockets Layer), etc. Pour faire face aux faiblesses de sécurité du protocole IPv4 (faiblesse d'authentification des paquets IP, faiblesse de confidentialité des paquets IP), une suite de protocoles de sécurité pour IP, appelée IPsec (IP Security), a été définie par l'I.E.T.F. (Internet Engineering Task Force, en Anglais) afin d'offrir des services de chiffrement et d'authentification. IPsec est issu d'études menées sur la future génération du protocole IPv6, appelée I.P.N.G. (Internet Protocol Next Generation, en Anglais), afin de faire face, entre autres, à la pénurie future d'adresses IP et à l'impossibilité d'allouer de la bande passante pour les applications multimédias. Cette suite de sécurité s'impose aujourd'hui comme une solution majeure pour créer des réseaux privés virtuels, sur Internet par exemple. IPsec offre des services de contrôle d'accès, d'intégrité des données, d'authentification de l'origine des données, de parade contre les attaques de type paquets rejoués (replay) et de confidentialité. De plus, il encapsule nativement tous les protocoles IP (TCP, UDP, ICMP, etc.).

3.6.2. Pare-feu ou Firewall

Un pare-feu, de l'anglais « firewall », est un système permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant d'un réseau tiers. C'est un logiciel et/ou un matériel qui inspecte les paquets entrants et sortants du réseau afin d'autoriser ou d'interdire leur passage en se basant sur un ensemble de règles appelées ACL (« Access Control List »). Il enregistre également les tentatives d'intrusions dans un journal transmis aux administrateurs du réseau et permet de contrôler l'accès aux applications et d'empêcher le détournement d'usage. Un pare-feu dans un réseau a pour but de déterminer le type de trafic qui sera acheminé ou bloqué, de limiter le trafic réseau et accroître les performances, contrôler le flux de trafic, fournir un niveau de sécurité d'accès réseau de base, autoriser un administrateur à contrôler les zones auxquelles un client peut accéder sur un réseau, filtrer certains hôtes afin de leur accorder ou de leur refuser l'accès à une section de réseau. Le schéma d'un pare-feu ou « firewall » est illustré à la figure 6 :

27

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 6 : Pare-feu dans un réseau

3.6.3. Serveur Proxy

Un serveur proxy ou serveur mandataire, est une machine qui fait l'intermédiaire entre un matériel (ordinateur, smartphone, tablette...) et un autre réseau, généralement internet. Un proxy est donc un ensemble de processus permettant d'éliminer la connexion directe entre les applications des clients et les serveurs. Les organisations utilisent les proxys pour permettre à des machines de leur réseau d'utiliser Internet sans risque et sans que les utilisateurs externes ne soient capables d'accéder à ce réseau, comme le montre la figure 7.

Figure 7 : Serveur proxy

3.6.4. DMZ (Demilitarized zone)

Une DMZ (Demilitarized zone) est une zone tampon d'un réseau d'entreprise, située entre le réseau local et Internet, derrière le pare-feu. Il s'agit d'un réseau intermédiaire regroupant des serveurs publics (HTTP, DHCP, mails, DNS, etc.). Ces serveurs devront être accessibles depuis le réseau interne de l'entreprise et, pour certains, depuis les réseaux externes. Le but est ainsi d'éviter toute connexion directe au réseau interne. La figure 8 illustre ce que c'est qu'une DMZ :

28

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 8 : DMZ

3.6.5. Antivirus

Les antivirus sont des programmes qui permettent de détecter la présence de virus ou programmes malveillants sur un ordinateur et de les supprimer. L'antivirus analyse les fichiers entrants (fichiers téléchargés ou courriers électroniques) et, périodiquement, la mémoire vive de l'ordinateur et les périphériques de stockage comme les disques durs, internes ou externes, les clés USB et les cartes à mémoire Flash. La détection d'un logiciel malveillant peut reposer sur trois méthodes :

· Reconnaissance d'un code déjà connu (appelé signature) et mémorisé dans une base de données.

· Analyse du comportement d'un logiciel (méthode heuristique).

· Reconnaissance d'un code typique d'un virus.

3.6.6. Les IPS et IDS

Un IDS (Intrusion Detection System), signifie système de détection d'intrusion. C'est un logiciel, un matériel ou une combinaison des deux utilisé pour détecter l'activité d'un intrus dans un réseau [14]. Ce système informatique a le rôle de détecter toute tentative d'intrusion. Un IDS fait une analyse de certaines informations en vue de détecter des activités malveillantes qui seront notifiées aux responsables de la sécurité du système dans le plus bref délai possible. Cette raison fait de la majorité des IDS des systèmes qui opèrent en temps réel. Pourtant, il y a des IDS qui réagissent en mettant fin à une connexion suspecte par exemple suite à la détection d'une intrusion. On a plusieurs types d'IDS disponibles de nos jours qui sont caractérisés par des surveillances différentes et des approches d'analyse. On cite essentiellement trois types d'IDS :

29

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

a) Network-Based IDS (NIDS) ou Systèmes de détection d'intrusion réseau :

Le rôle essentiel d'un IDS réseau est l'analyse et l'interprétation des paquets circulant sur ce réseau. L'implantation d'un NIDS sur un réseau se fait de la façon suivante : des capteurs sont placées aux endroits stratégiques du réseau et génèrent des alertes s'ils détectent une attaque. Ces alertes sont envoyées à une console sécurisée, qui les analyse et les traite éventuellement [15]. Cette console est généralement située sur un réseau isolé, qui relie uniquement les capteurs et la console sur ce réseau.

Un capteur est une machine dont la carte réseau est configurée en mode « promiscuous » (le mode dans lequel la carte réseau lit l'ensemble du trafic). Pour cela, un capteur possède en général deux cartes réseaux, une placée en mode furtif sur le réseau, l'autre permettant de le connecter à la console de sécurité [15]. Du fait de leur invisibilité sur le réseau, il est beaucoup plus difficile de les attaquer et de savoir qu'un IDS est utilisé sur ce réseau. Il est fréquent de trouver plusieurs IDS sur les différentes parties du réseau. On trouve souvent une architecture composée d'une sonde placée à l'extérieure du réseau afin d'étudier les tentatives d'attaques et d'une sonde en interne pour analyser les requêtes ayant traversé le pare-feu.

Mais, la plupart de NIDS ne peuvent pas indiquer si une attaque réussie ou non. Ils reconnaissent seulement qu'une attaque a été initialisée. C'est-à-dire qu'après le NIDS détecte une attaque, l'administrateur doit examiner manuellement chaque host s'il a été en effet pénétré.

b) Host Based IDS (HIDS) ou Systèmes de détection d'intrusion de type hôte :

Les systèmes de détection d'intrusion basés sur l'hôte ou HIDS (Host IDS) analysent le fonctionnement et l'état des machines sur lesquelles ils sont installés afin de détecter les attaques en se basant sur des démons de services. L'intégrité des systèmes est alors vérifiée périodiquement et des alertes peuvent être générées.

Comme ils n'ont pas à contrôler le trafic du réseau mais "seulement" les activités d'un hôte ils se montrent habituellement plus précis sur les types d'attaques subies. Par exemple dans le cas d'une attaque réussie par un utilisateur, les HIDS utilisent deux types de sources pour fournir une information sur l'activité de la machine : les logs et les traces d'audit du système d'exploitation. Les traces d'audit sont plus précises et détaillées et fournissent une meilleure information [16].

c) Les systèmes de détection d'intrusion hybrides

Ces types d'IDS sont utilisés dans des environnements décentralisés. Ils centralisent les informations en provenance de plusieurs emplacements (capteurs) sur le réseau. Le but de ce type d'IDS est d'avoir une vision globale sur les composants constituant un système d'information en permettant une supervision centralisée en matière d'alertes d'intrusions remontées par les NIDS et les HIDS présents sur l'architecture du réseau supervisé. Les IDS hybrides présentent les avantages des NIDS et HIDS sans leurs inconvénients avec la normalisation des formats et centralisation des événements.

30

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Concernant les systèmes de prévention d'intrusion (IPS, Intrusion Prevention System en Anglais), ils ont fait leur apparition au début des années 2000 sous l'idée qu'un système de détection d'intrusion peut certes détecter des attaques contre un réseau mais ne peut empêcher l'intrusion. Cela a mené certaines entreprises utilisatrices à se poser la question : pourquoi s'investir dans une solution de détection des intrusions si on ne peut pas empêcher l'intrusion ? La réaction des fournisseurs a été rapide et c'est ainsi que le concept IPS a vu le jour. Un système de prévention d'intrusion est un ensemble de composants logiciels et/ou matériels dont la fonction principale est d'empêcher toute activité suspecte détectée au sein d'un système.

3.7. S.I.E.M. (Security Information and Event Management)

Pour optimiser leur sécurité informatique, les organisations et entreprises de toutes tailles doivent pouvoir surveiller leurs réseaux et systèmes d'information, afin d'identifier les actions malveillantes qui les menacent et se prémunir de potentielles attaques avant qu'elles ne causent de graves dommages.

3.7.1. Historique des S.I.E.M.

Le terme S.I.E.M. a été conçu en 2005 par Mark Nicolett et Amrit Williams, deux analystes du GARTNER. À l'époque, deux types de solutions complémentaires mais distinctes géraient les données de sécurité des systèmes d'information : les S.E.M. et les S.I.M. Mark Nicolett et Amrit Williams ont noté le rapprochement évident des outils de gestion des journaux ou S.I.M. (Security Information Management, Gestion des informations de sécurité en Français) et des programmes de suivi d'événements de sécurité ou S.E.M. (Security Event Manager, Gestion des événements de sécurité en Français). Ces derniers analysent, en temps réel, les événements du réseau, puis effectuent une corrélation afin de détecter la cause initiale du problème. Ils peuvent ensuite déclencher l'alerte adaptée vers l'administrateur pouvant corriger la faille, arrêter un processus ou fermer un port. Nicolett et Williams mettent en évidence la nécessité de combiner ces deux outils pour mieux piloter la sécurité et créent le terme S.I.E.M. (Security Information and Event Management). Le S.I.E.M. devient alors un outil actif de la sécurité. Depuis, les S.I.E.M. ont beaucoup évolué. Par rapport à la définition de 2005, il faut rajouter aujourd'hui dans les capacités des S.I.E.M. des capacités de combinaison avec les C.T.I. (Cyber Threat Intelligence, renseignements sur les cyber menaces en Français) externe ou encore des fonctionnalités d'Intelligence Artificielle telles que le « machine learning » pour améliorer les capacités de détection.

3.7.2. S.I.M., S.E.M. et S.I.E.M.

Deux (02) briques constituent une solution de S.I.E.M. :

31

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

· La première brique appelée S.E.M. pour Security Event Manager (Gestion des événements de sécurité en Français), permet l'analyse des « logs » (journal d`évènements en Français) en temps réel (ou quasi réel) en provenance des systèmes de sécurité, réseaux, d'exploitation et applicatifs. Le S.E.M. effectue aussi d'autres actions :

Ø il est capable de traiter un volume très important de données en temps réel,

Ø lorsqu'il identifie des événements douteux, il les enrichit dans un format dédié à la détection d'intrusion,

Ø il propose des capacités de corrélation avancées en temps réel des événements,

Ø il dispose d'outils nécessaires au suivi et à l'exploitation des alertes,

Ø enfin, il est capable d'effectuer une « réponse aux incidents » sur des menaces internes comme externes.

· La seconde brique appelée S.I.M. pour Security Information Management (Gestion des informations de sécurité en Français). Son rôle par contre est de gérer l'historique des traces, de fournir des rapports en conformité avec la réglementation existante au sein de l'entreprise, et de surveiller les menaces internes. Le S.I.M effectue d'autres actions comme :

Ø il permet de stocker des volumes très importants de données brutes peu structurées (issues généralement du découpage des journaux),

Ø il propose parfois un format de normalisation mais ce format est généralement très simpliste,

Ø il offre des capacités d'indexation et de recherche à des fins d'analyse et d'investigation numérique.

En regroupant ces deux fonctions, les systèmes S.I.E.M. accélèrent l'identification et l'analyse des événements de sécurité, ainsi que la restauration qui s'en suit. Ils permettent aux responsables de la sécurité du système d'information de satisfaire aux exigences légales de conformité de l'entreprise. Il est possible de superviser la sécurité d'un système d'information avec uniquement un module S.I.M. mais cela nécessitera plus de travail et une compétence plus forte pour analyser les données recueillies, ou uniquement avec un S.E.M. Mais l'absence de stockage à long terme peut pénaliser pour l'analyse et l'investigation numérique. Aujourd'hui la meilleure assurance pour détecter le maximum d'anomalies, de tentatives d'intrusions ou d'A.P.T. (Advanced Persistent Threat, menaces avancées persistantes en Français) est de combiner les fonctions S.I.M. et S.E.M. dans un seul outil comme le font les S.I.E.M. modernes. Dans la pratique, il existe 3 types de S.I.E.M. : les S.I.E.M. internes, les S.I.E.M. basé dans le cloud et les S.I.E.M. gérés / managés.

3.7.3. Rôles et fonctionnement des S.I.E.M.

Ici, une description des rôles et fonctionnements des S.I.E.M. sera présentée.

32

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.7.3.1. Rôles

La solution S.I.E.M. permet de surveiller des applications, des comportements utilisateurs et des accès aux données. A travers les fonctionnalités fournis par cette solution, il est donc possible de collecter, de mettre dans un format de normalisation, d'agréger, de corréler et d'analyser les données des événements issus des machines, systèmes et applications (pare-feu, systèmes de prévention d'intrusion, machines réseau, machines de sécurité, applications, bases de données, serveurs). Le principe d'un S.I.E.M. consiste à examiner depuis un guichet unique les données relatives à la sécurité de l'entreprise qui sont générées en de nombreux points. Cette approche facilite l'identification d'éventuels comportements inhabituels au sein du système informatique de l'entreprise. Concrètement, le S.I.E.M. permettra à une entreprise de centraliser toutes les informations de sécurité en un seul outil.

3.7.3.2. Fonctionnement des S.I.E.M.

Pour permettre au système d'identifier des événements anormaux, il est important que l'administrateur S.I.E.M. élabore en premier lieu un profil du système dans des conditions normales de fonctionnement.

Au niveau le plus simple, un système S.I.E.M. peut reposer sur des règles ou utiliser un moteur de corrélation statistique pour établir des relations entre les entrées du journal des événements. Sur certains systèmes, un pré-traitement peut intervenir au niveau des collecteurs. Seuls certains événements sont alors transmis au noeud d'administration centralisé. Ce pré-traitement permet de réduire le volume d'informations communiquées et stockées. Toutefois, cette approche comporte le risque de filtrer des événements pertinents de manière précoce.

Les SIEM permettent : 1) La collecte

Le principe de la collecte est de fournir au S.I.E.M. des données à traiter. Ces données peuvent être de nature diverse en fonction de l'équipement ou du logiciel, mais aussi être envoyées de manières tout à fait différentes. On distingue deux modes de fonctionnement :

· Mode actif : la plupart des S.I.E.M. fonctionnent en déployant une multitude d'agents de collecte de manière hiérarchique sur les équipements à superviser. Ces agents ont pour fonction de récupérer les informations des appareils des utilisateurs, des serveurs, des équipements réseau, voire des équipements spécialisés de sécurité, tels que les pare-feu, ou encore les systèmes antivirus et anti-intrusions, et aussi des logiciels de sécurité et de les envoyer au S.I.E.M. Un élément de sécurité qui a été conçu nativement pour être un agent du S.I.E.M. est appelé une « sonde » ;

· Mode passif : le S.I.E.M. est en écoute directe sur les équipements à superviser. Pour cette méthode, c'est l'équipement ou le logiciel qui envoie des informations sans intermédiaire au S.I.E.M.

33

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

2) La normalisation

Les informations collectées viennent d'équipements et logiciels hétérogènes ayant pour la plupart leurs propres moyens de formater les données. Cette étape permet d'uniformiser les informations selon un format unique pour faciliter le traitement par le S.I.E.M. Des formats sont mis au point par l'I.E.T.F. (Internet Engineering Task Force) sous forme de R.F.C. (Request For Comments, en Anglais) pour structurer les informations de sécurité et pouvoir les échanger et les traiter plus facilement. C'est pourquoi il est plus judicieux de les énumérer :

· IDMEF (Intrusion Détection Message Exchange Format) :

C'est un standard, défini dans la R.F.C. 4765, permettant l'interopérabilité entre les systèmes commerciaux, libres et à codes sources ouverts et de recherche. Il est basé sur le format XML et est un format conçu pour définir les évènements et des alertes de sécurité. Il est également adapté pour le stockage en base de données, l'affichage et la gestion des informations.

· IODEF (Incident Object Description and Exchange Format) :

C'est un standard, défini dans la R.F.C. 5070, représentant les informations de sécurité échangées entre les équipes C.S.I.R.Ts. (Computer Security Incident Response Teams, en Anglais). Il est basé sur le format XML (eXtensible Markup Language, en Anglais) et est un format conçu pour transmettre des incidents de sécurité entre les domaines administratifs et les parties qui ont une responsabilité opérationnelle. Ce modèle de données encode l'information des hôtes, des réseaux, des services, etc.

La normalisation permet ainsi de faire des recherches multi-critères, sur un champ ou sur une date. Ce sont ces événements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation.

3) L'agrégation

L'agrégation est le premier traitement des évènements de sécurité. Il consiste en un regroupement d'évènements de sécurité selon certains critères. Ces critères sont généralement définis à travers des règles appelées « règles d'agrégation » et s'appliquent à des évènements ayant des similarités. Plusieurs règles de filtrage peuvent être appliquées. Ils sont ensuite agrégés selon les solutions, puis envoyés vers le moteur de corrélation.

4) La corrélation

La corrélation correspond à l'analyse d'évènements selon certains critères. Ces critères sont généralement définis à travers des règles appelées « règles de corrélation ». Le but de cette étape est d'établir des relations entre évènements, pour ensuite pouvoir créer des alertes de corrélations, des incidents de sécurités, des rapports d'activité. La corrélation se différencie sur plusieurs points :

34

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

· Auto-apprentissage et connaissances rapportées : Pour pouvoir fonctionner, les moteurs de corrélation ont besoin d'informations sur les systèmes et réseaux de l'infrastructure. Ces informations peuvent être collectées automatiquement et/ou saisies manuellement par un opérateur ;

· Temps réel et données retardées : Dans certains cas, les évènements bruts sont forgés et envoyés directement pour être corrélés en temps réel. Dans d'autres cas, les évènements sont d'abord stockés, et envoyés après un premier traitement (ex : agrégation), leur envoi peut être alors conditionné ;

· Corrélation active et passive : La corrélation active a la possibilité de compléter les évènements reçus en recueillant des informations supplémentaires pour prendre des décisions. La corrélation passive est une corrélation qui ne peut pas interagir avec son environnement, elle reçoit des évènements et prend des décisions.

Les règles de corrélation permettent d'identifier un événement qui a causé la génération de plusieurs autres (un hacker qui s'est introduit sur le réseau, puis a manipulé tel équipement, etc). Elles permettent aussi de remonter une alerte via un courriel, SMS ou ouvrir un ticket si la solution S.I.E.M. est interfacée avec un outil de gestion de tickets.

5) Le reporting

Les S.I.E.M. permettent également de créer et générer des tableaux de bord et des rapports. Ainsi, les différents acteurs du système d'information, responsables sécurité du système d'information, administrateurs, utilisateurs peuvent avoir une visibilité sur le système d'information (nombre d'attaques, nombre d'alertes par jour...).

6) L'archivage

Les solutions S.I.E.M. sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent utiliser du chiffrement par exemple pour garantir l'intégrité des traces.

7) Le rejeu des évènements

La majorité des solutions permettent également de rejouer les anciens événements pour mener des enquêtes post-incidentes. Il est également possible de modifier une règle et de rejouer les événements pour voir son comportement.

3.7.4. Avantages et inconvénients des S.I.E.M.

Il faut le reconnaître, s'équiper d'une solution de type S.I.E.M. nécessite un investissement conséquent en raison de la complexité de sa mise en oeuvre. Toutefois, bien qu'initialement destiné aux grandes entreprises, le S.I.E.M. offre des avantages à tous les types d'organisations :

35

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.7.4.1. Avantages

· Détection proactive d'incidents

Un S.I.E.M. s'avère capable de détecter des incidents de sécurité qui seraient passés inaperçus. Pour une raison simple : les nombreux hôtes qui enregistrent des événements de sécurité ne disposent pas de fonctions de détection d'incidents.

Le S.I.E.M. dispose de cette faculté de détection grâce à sa capacité de corrélation des événements. Contrairement à un système de prévention d'intrusion qui identifie une attaque isolée, le S.I.E.M. regarde au-delà. Les règles de corrélations lui permettent d'identifier un événement ayant causé la génération de plusieurs autres (attaque à travers le réseau, puis manipulation sur un équipement précis, etc.). Dans de tels cas de figure, la plupart des solutions ont la capacité d'agir indirectement sur la menace. Le S.I.E.M. communique avec d'autres outils de sécurité mis en place dans l'entreprise et pousse une modification afin de bloquer l'activité malveillante. Résultat, des attaques qui n'auraient même pas été remarquées dans l'entreprise sont contrecarrées.

Pour aller encore plus loin, une organisation peut choisir d'intégrer à son S.I.E.M. une « Cyber Threat Intelligence » (C.T.I., renseignement sur les cyber menaces, en Français). Selon la définition de GARTNER, la C.T.I. est « la connaissance fondée sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et des conseils concrets, concernant une menace nouvelle ou existante ou un risque pour les actifs d'une organisation qui peuvent être utilisés afin d'éclairer les décisions concernant la réponse du sujet à cette menace ou un danger ». La C.T.I. consiste donc à collecter et organiser toutes les informations liées aux menaces et cyber-attaques, afin de dresser un portrait des attaquants ou de mettre en évidence des tendances (secteurs d'activités visés, les méthodes d'attaque utilisées, etc.). Cela permet une meilleure anticipation des incidents.

· Conformité et reporting

À l'heure où les normes et certifications de cyber-sécurité sont de plus en plus nombreuses, le S.I.E.M. devient un élément clé de tout système d'information. C'est un moyen relativement simple de répondre à plusieurs exigences de sécurité (ex : historisation et suivi des logs, rapports de sécurité, alerting, ...). D'autant que le S.I.E.M. peut générer des rapports hautement personnalisables selon les exigences des différentes réglementations. Ce seul bénéfice suffit à convaincre des organisations de déployer un S.I.E.M. Et pour cause: la génération d'un rapport unique traitant tous les événements de sécurité pertinents quelle que soit la source des fichiers journaux (générés en outre dans des formats propriétaires) fait gagner un temps précieux.

· Amélioration des activités de gestion des incidents

Un S.I.E.M. contribue aussi à une meilleure réaction aux incidents. Disposer d'un S.I.E.M. c'est l'assurance d'identifier rapidement des menaces et de réduire le temps de réaction avec des ressources réduites. Là encore, c'est la vue d'ensemble des événements de sécurité reçus de la part des applications, des systèmes d'exploitation et des divers équipements de sécurité qui

36

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

permet l'identification des attaques et compromissions potentielles. Notez que les solutions S.I.E.M. intègrent également des fonctionnalités d'analyse comportementale des utilisateurs et des entités. Des fonctions précieuses pour aider les entreprises à détecter les menaces provenant des personnes et des logiciels.

Les solutions S.I.E.M. n'ont pas que des avantages. Elles comportent également des inconvénients.

3.7.4.2. Inconvénients

Déployer un S.I.E.M. ne suffit pas pour autant à sécuriser complètement votre organisation. Les solutions S.I.E.M. présentent des limites qui ne les rendent pas optimales sans un accompagnement à la hauteur et sans solutions tierces. Contrairement à une solution de sécurité de type IPS ou Firewall, un S.I.E.M. ne surveille pas les événements de sécurité mais utilise les données de fichiers journaux enregistrées par ces derniers. Il est donc essentiel de ne pas négliger la mise en place de ces solutions.

· Une configuration quelques fois trop complexe

Les S.I.E.M. sont des produits complexes qui appellent un accompagnement pour assurer une intégration réussie avec les contrôles de sécurité de l'entreprise et les nombreux hôtes de son infrastructure. Il est important de ne pas se contenter d'installer un S.I.E.M. avec les configurations du constructeur et/ou par défaut, car ces configurations sont souvent insuffisantes. Elles doivent être personnalisées et adaptées aux besoins des utilisateurs.

· Des coûts de déploiement qui peuvent être élevés

Réaliser les fonctions des S.I.E.M. par rapport aux événements de sécurité est une tâche qui semble relativement simple. Cependant, leur collecte, stockage et l'exécution des rapports de conformité, l'application des correctifs et l'analyse de tous les événements de sécurité se produisant sur le réseau d'une entreprise n'est pas facile. Taille des supports de stockage, puissance informatique pour le traitement des informations, temps d'intégration des équipements de sécurité, mise en place des alertes, etc. L'investissement initial peut se compter en centaines de milliers FCFA auquel il faut ajouter le support annuel, au cas où une solution payante est adoptée. Intégrer, configurer et analyser les rapports nécessite la compétence d'experts. Faire appel à des prestataires externes disposant de l'expertise dans le domaine reste souvent une solution adoptée par plusieurs entreprises.

· Un grand volume d'alertes à réguler

Les solutions S.I.E.M. s'appuient généralement sur des règles pour analyser toutes les données enregistrées. Cependant, le réseau d'une entreprise génère un nombre très important d'alertes (en moyenne 10 000 par jours) qui peuvent être positives ou non. En conséquence, l'identification de potentielles attaques est compliquée par le volume de fichiers journaux non

37

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

pertinents. La solution consiste à définir des règles précises et le périmètre à surveiller: que faut-il surveiller en priorité? L'interne? Réseau/système/application ? Quelle technologie à prioriser ? Etc. En raison du grand nombre de volume d'alertes à réguler, un personnel formé ou une équipe dédiée sont requis pour consulter les journaux, effectuer des examens réguliers et extraire les rapports pertinents.

3.8. Propositions et choix de solutions

Il existe une panoplie de solutions qui sont proposées par plusieurs entités avec leurs avantages et leurs inconvénients. Il existe des solutions qui sont propriétaires, et donc payantes, et des solutions qui sont libres et à codes sources ouverts, donc gratuites. Afin de déterminer la solution qui convient le mieux au présent projet, une brève présentation de certaines solutions sera faite :

3.8.1. Présentation de quelques solutions S.I.E.M.

Le S.I.E.M. étant le logiciel le plus important du projet il faut d'abord effectuer une étude des quelques solutions pour choisir un bon logiciel et l'implémenter ensuite. Après une recherche ciblée, quelques solutions concurrentes ont été proposées.

3.8.1.1. SPLUNK Enterprise

L'un des leaders du marché, SPLUNK est relativement simple à utiliser et rapide à mettre en oeuvre. Il existe sur le marché depuis 2006. A titre d'information, Splunk est entre autres utilisé par des entreprises comme Adobe, Coca-Cola... Il possède une interface graphique conviviale. De plus SPLUNK rime avec évolutivité : Votre réseau peut s'agrandir, Splunk suivra.

SPLUNK est un S.I.E.M. propriétaire mais qui possède une version gratuite. Cette version gratuite permet de stocker jusqu'à 500Mo de fichiers journaux par jour. SPLUNK se suffit à lui-même pour ingérer les données, les transformer et les analyser. SPLUNK dispose également de plusieurs « forwarders » à installer sur les équipements à superviser afin qu'ils puissent envoyer leurs fichiers journaux vers SPLUNK.

SPLUNK est très complet et très simple d'installation. En effet, il suffit de récupérer l'archive sur leur site officiel, de suivre les procédures d'installation et l'interface de Splunk est déjà accessible. Pour ce qui est de la configuration, elle est aussi relativement simple puisqu'elle se fait principalement via l'interface web. L'envoi de données à SPLUNK est relativement facile. Depuis l'interface web, il est possible d'importer directement des données ou de configurer un port d'écoute (pour les données syslog des équipements réseaux par exemple) ou encore de transmettre d'autres types de données grâce aux différents « forwarders » de Splunk.

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

SPLUNK présente quelques Inconvénients. La plus grande critique que l'on peut faire sur Splunk est qu'il soit propriétaire donc payant. La tarification peut être très chère, par rapport aux offres libres et à codes sources ouverts. De plus les utilisateurs ont la possibilité de créer et de sauvegarder des requêtes. Comme dans les requêtes de base de données, certaines sont plus efficaces que d'autres. Les grandes requêtes inefficaces peuvent nécessiter beaucoup de ressources. Si l'on remarque des lenteurs dans les requêtes quotidiennes, une navigation dans l'interface utilisateur ou l'utilisation de ressources en conflit, il faut garder un oeil sur les requêtes enregistrées et les pratiques des utilisateurs. Le logo de SPLUNK est présenté à la figure 9.

38

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Figure 9 : Logo de SPLUNK

3.8.1.2. IBM QRadar

QRadar est une solution plutôt orientée grandes entreprises d'où peut-être une utilisation un peu plus complexe lorsqu'il s'agit de la personnaliser. Cependant la solution possède déjà un large choix de cas prédéfinis. Mais QRadar a un coût plus élevé. IBM QRadar a la possibilité de collecter les logs et les flux venant d'applications sur le Cloud. La solution peut être déployée en SaaS (Software as a Service, logiciel en tant que service en Français) grâce à l'offre « IBM Cloud ». Il est possible, en option, d'utiliser les autres produits IBM tel que « IBM Security X-Force Threat Intelligence » (Utilise le score et la catégorie de menace pour identifier une menace). L'offre « IBM QRadar Security Intelligence » inclut les modules de gestion des risques, de gestion des vulnérabilités, d'analyse d'investigation numérique et les réponses aux incidents.

S'il est vrai que QRadar est un produit à la pointe de la technologie, lui permettant de détecter rapidement les vulnérabilités, il peut toutefois générer parfois des notifications qui ne sont pas d'une telle priorité, ce qui entraîne des retards dans l'analyse. De plus, comme SPLUNK, il est payant. Son logo est présenté à la figure 10 :

39

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 10 : Logo d'IBM QRADAR

3.8.1.3. ELK

ELK est utilisé par des entreprises comme Ebay, Netflix, Cisco... ELK est composé de trois logiciels libres et à codes sources ouverts : Logstash, ElasticSearch et Kibana

Logstash est un outil qui ingère différentes données du parc informatique d'une organisation : fichiers journaux, base de données, service web, etc. Logstash récupère toutes les données, les ingère, les transforme et les envoie ensuite à la base de données ElasticSearch. ElasticSearch est un moteur de recherche qui permet de retrouver les données que l'on recherche dans Logstash. Kibana est l'interface graphique qui permet de naviguer dans les données d'ElasticSearch. On peut ensuite générer des tableaux, des graphiques à partir de Kibana.

Enfin, il existe autre alternative à Logstash pour mettre dans un format et expédier différents types de données dans ElasticSearch. Il s'agit de « Beats », comme par exemple « Filebeat », qui est un outil à installer sur les serveurs pour que les données soient transmises à Logstash. Cela permet de régler le problème de Logstash qui est connu pour ses longues périodes de démarrage et qui était avant la principale option pour l'envoi de données à ElasticSearch.

Bien que gratuit et libre et à code source ouvert, l'installation d'ELK et sa configuration sont plus complexes. Pour ELK, il est nécessaire de configurer Logstash de sorte que celui-ci transmette les données à ElasticSearch. La configuration de Logstash peut être compliquée pour ceux qui ne travaillent pas avec les langages de script tels que « Bash, Python ou Ruby ». Il existe tout de même un bon support en ligne et une communauté importante.

40

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

ELK repose sur trois solutions libres et à codes sources ouverts mais si l'on veut profiter de plusieurs fonctionnalités comme les alertes, le monitoring, il est possible d'investir dans le « X-Pack ». Ce pack comporte un ensemble de plugins qui viendront complémenter la pile de base ELK. Il est à noter que « X-Pack » est gratuit pour 30 jours puis nécessite une licence. Le logo de ELK est présenté à la figure 11 :

Figure 11 : Logo d'ELK

3.8.1.4. AlienVault OSSIM/USM

OSSIM est un projet « open source » de « management de la sécurité de l'information ». Cette solution s'appuie sur une gestion des logs basée sur la corrélation de ceux-ci ainsi qu'une notion d'évaluation des risques. OSSIM (Open Source Security Information Management) est un gestionnaire d'évènements et d'informations sécurisé libre et à code source ouvert qui intègre une sélection d'utilitaires destinés à aider les administrateurs réseaux dans la sécurisation, la détection d'intrusion et la prévention. Il est porté par AlienVault. La compagnie propose deux éditions du S.I.E.M. L'une, totalement libre et à code source ouvert est « OSSIM » et l'autre, payante, est disponible en logiciel, « Appliance » ou services orientés Cloud et est généralement appelée « USM ». Ces alternatives payantes ont pour avantage la gestion des logs, le support dédié e-mail et mobiles, les documentations en ligne et les bases de connaissances, les tableaux de bord et la visualisation de données.

41

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

La solution OSSIM est née du constat selon lequel il est difficile encore à ce jour d'obtenir un instantané de son réseau et des informations qui y transitent avec un niveau d'abstraction suffisant pour permettre une surveillance claire et efficace. Le but d'OSSIM est donc de combler ce vide constaté quotidiennement par les professionnels de la sécurité

Un inconvénient d'OSSIM est que, parfois, si la solution n'est pas correctement dimensionnée, cela peut nuire aux performances. En particulier, si OSSIM est implémenté en tant que machine virtuelle, les performances des autres machines virtuelles de l'hyperviseur utilisé en seraient également affectées. Son logo est présenté à la figure 12 :

Figure 12 : Logo d'AlienVault

3.8.2. Choix de solution

Concernant le S.I.E.M. à mettre en place, OSSIM, le S.I.E.M. libre et à code source ouvert soutenu par AlienVault a été choisi. Ce choix est motivé par le caractère libre de la solution, ce qui ouvre de larges possibilités d'adaptation sur mesure et de personnalisation. Malgré le fait que la documentation ne sera pas officiellement accessible, une communauté de développeurs plutôt active est disponible en cas de soucis. De plus, OSSIM est un concurrent des logiciels propriétaires et il est le S.I.E.M. libre et à code source ouvert le plus utilisé actuellement. Son logo est présenté à la figure 13.

Figure 13 : Logo d'AlienVault OSSIM

42

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.9. Etude d'AlienVault OSSIM

OSSIM pour Open Source Security Information Management est un S.I.E.M. (Security Information and Event Management). Il intègre une belle sélection d'outils sur mesure ayant pour but d'aider les administrateurs du réseau dans la sécurité informatique, la prévention et la détection d'intrusion. En tant que gestionnaire d'évènements, OSSIM a pour mission de fournir en temps réel une analyse détaillée de la sécurité et des rapports administratifs de tous les aspects relatifs à la sécurisation du système en combinant la gestion des logs et la gestion, découverte des ressources avec les informations des systèmes de contrôles de l'information et de détection dédiés. Ces données sont alors mises en corrélation pour fournir un aspect de l'information alors invisible par l'analyse d'une seule pièce. OSSIM dispense ces fonctions en utilisant d'autres logiciels libres bien connus et en les unifiant sous une unique interface utilisateur. C'est cette interface qui fournit les graphiques les outils d'analyse relatifs aux informations collectées via ces logiciels libres et permet une gestion centralisée des options de configuration.

Les objectifs d'OSSIM sont :

· Fournir un cadre de gestion centralisé ;

· Fournir une console d'organisation ;

· Améliorer la détection et l'affichage des alarmes de sécurité.

Le but commun des trois principaux objectifs décrits ci-dessus est de permettre une réduction des faux positifs et des faux négatifs. Ce but est d'autant plus difficile à atteindre du fait qu'un volume considérable d'alarmes est présent. Il est donc nécessaire de relier ces différentes alarmes entre elles afin d'obtenir des informations pertinentes et d'éliminer les alarmes inutiles (levées pour rien). Cet objectif peut être atteint à l'aide d'un procédé d'analyse des données nommé « Corrélation ». Le principe de fonctionnement d'OSSIM est forme de trois grandes catégories :

· La detection;

· L'analyse et le monitoring ;

· La gestion.

Les différents procédés cités ci-dessus seront détaillés dans les sections suivantes.

3.9.1. La détection

Celle-ci est effectuée à l'aide de sondes capables de traiter l'information en temps réel et d'émettre des alarmes lorsqu'une situation à risque est détectée.

43

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.9.1.1. Méthodes de détection

Une sonde peut utiliser différentes approches afin de déterminer si un évènement est à risque ou non. En effet, deux grands principes complémentaires sont présents dans la détection d'intrusions : la détection basée sur les signatures et la détection basée sur les anomalies.

1) La détection par signatures

La détection par signatures identifie des évènements de sécurité qui tentent d'utiliser un système de façon non standard. Les représentations d'intrusions sont donc stockées et comparées à l'activité' du système. Lorsqu'une intrusion connue est repérée lors de l'utilisation du système, une alarme est levée.

La détection par signatures a des limites. Elle ne connait pas l'objectif de l'activité correspondant à une signature et va donc déclencher une alerte même si le trafic est normal. De plus, la détection par signature exige de connaitre préalablement l'attaque afin de générer la signature précise correspondante (fonctionnement par liste noire comme dans le cas des antivirus par exemple). Ceci implique qu'une attaque encore inconnue ne pourra pas être détectée par signature.

2) Détection d'anomalies

La détection d'anomalies identifie une activité suspecte en mesurant une activité normale du système sur un certain temps. Une alerte est ensuite générée lorsque le modèle s'éloigne de l'activité normale du système.

Le principal avantage de la détection d'anomalies est qu'elle n'exige aucune connaissance préalable des attaques. Si le module de détection par anomalie détermine qu'une attaque diffère de façon significative de l'activité normale, il peut la détecter.

La détection d'anomalies possède ses limites. Toute la difficulté réside dans la période de collecte des données correspondant à une activité désignée' comme normale pour alimenter la base de données de référence.

3.9.2. L'analyse

La méthode de traitement des données peut être décomposée en trois phases distinctes :

· le preprocessing ou la génération des alarmes et envoi de celles-ci ;

· le rassemblement où toutes les alarmes précédemment envoyées (preprocessing) sont emmagasinées dans un serveur central ;

· le Post-processing ou le traitement des données que l'on a emmagasiné.

Les deux premières étapes (preprocessing et rassemblement) ne présentent rien de nouveau dans le cadre d'OSSIM. Celles-ci font principalement partie des méthodes de détection mentionnées ci-dessus. OSSIM offrira uniquement de nouvelles méthodes d'analyse et

44

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

d'affichage des données récoltées. Il n'apportera en aucun cas de nouvelles solutions dans la détection et le rassemblement des données.

Différentes méthodes d'analyse sont implémentées dans le cadre d'OSSIM :

· définition de la priorité des alarmes ;

· évaluation des risques ;

· corrélation.

3.9.2.1. Définition de la priorité des alarmes

Ce procédé permettra de déduire la priorité d'une alarme en fonction de son type, de la source de l'éventuelle attaque ainsi que de sa cible. Les exemples suivants illustrent facilement l'utilité de cette étape d'analyse :

· Une machine fonctionnant avec le système d'exploitation UNIX et hébergeant un serveur Web Apache est mentionnée comme cible d'une attaque. Cette attaque a précédemment été détectée comme possible à l'aide d'un scanner de vulnérabilités. La priorité de l'alerte sera donc maximale puisque le serveur Web est vulnérable à l'attaque en question ;

· Si la connexion à un serveur génère une alarme, la définition de politique de sécurité en fonction des utilisateurs permettra facilement la définition de la priorité de celle-ci. En effet, différents cas sont envisageables :

Ø Priorité maximale de l'alarme si l'utilisateur (source de `'l'attaque») est extérieur au réseau de l'entreprise et que la connexion a pour cible une base de données importantes ;

Ø Basse priorité si l'utilisateur (source de `'l'attaque») est interne au réseau de l'entreprise et que la connexion a pour cible une imprimante ;

Ø Alarme discréditée si l'utilisateur (source de `'l'attaque») fait partie de l'équipe de développement et que la cible de la connexion est un serveur de test.

La définition de priorité fait partie d'une étape de mise en place de contextes des alarmes. Celle-ci est uniquement possible si l'environnement de l'entreprise est défini dans une base de données des connaissances. Cette base de données est définie par l'inventaire des biens informatiques ainsi que sur des politiques d'accès à des serveurs et/ou services. La définition de ces différentes politiques de sécurité implique la mise à disposition d'un outil de management permettant une configuration précise des politiques de sécurité ainsi que des machines du réseau.

Cette étape représente une part importante du filtrage des alarmes et nécessitera une constante mise à jour de la base de données des connaissances.

45

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.9.2.2. Evaluation des risques

Le risque peut être défini comme étant la probabilité qu'une attaque survienne. En d'autres termes, cette étape tente de définir si une menace est réelle ou pas. L'importance à donner à un évènement dépend principalement de trois facteurs :

· La valeur du bien attaqué ;

· La menace représentée par l'attaque ;

· La probabilité que l'attaque apparaisse.

3.9.2.3. Corrélation

Ce procédé permet notamment de retrouver certaines relations entre différentes alarmes indépendantes. Ceci permettra par exemple de découvrir des attaques noyées dans le flot des alarmes ou encore de discréditer des alarmes (découverte de faux positifs).

La corrélation peut être simplement définie comme un procédé traitant des données (inputs) et retournant un résultat (outputs). OSSIM utilise deux types d'inputs :

· Informations du moniteur (qui fournit normalement des indications à l'administrateur) ;

· Informations des détecteurs (qui fournissent normalement des alarmes).

Le résultat de ce traitement sera lui aussi d'un des deux genres cités ci-dessus (du moniteur ou des détecteurs). Les modèles de corrélations utilisés par OSSIM ont les objectifs suivants :

· Utilisation de méthodes par signatures, pour la détection d'évènements connus et détectables ;

· Utilisation de méthodes sans signature, pour la détection d'évènements non connus ;

· Utilisation d'une machine d'états configurable par l'utilisateur, pour la description de signatures complexes ;

· Utilisation d'algorithmes évolués, pour l'affichage général de la sécurité.

OSSIM met en oeuvre plusieurs méthodes de corrélation complémentaires :

· Corrélation utilisant des séquences d'évènements, basées sur les signatures connues et détectables ;

· Corrélation utilisant des algorithmes heuristique (Technique consistant à apprendre petit à petit, en tenant compte de ce que l'on a fait précédemment pour tendre vers la solution d'un problème), utilisée pour la détection d'attaques non connues ;

· Cross-corrélation permettant la recherche de relations entre les scans effectués et des alertes détectées.

46

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.9.3. Le monitoring

Le monitoring consiste en l'affichage des informations fournies. Les consoles de monitoring utilisent les différentes données produites par les procédés de corrélation pour la construction d'un affichage efficace.

3.9.4. Architecture d'OSSIM

L'architecture d'OSSIM est divisée en 2 principaux étages :

· Pre-processing, remontée d'évènements des moniteurs et détecteurs dans une base de données commune ;

· Post- processing, analyse centralisée.

La figure 14 illustre le fonctionnement en 2 étages (comme mentionné ci-dessus). Il est à remarquer que ces deux étages disposent de différentes bases de données permettant la sauvegarde des informations intermédiaires (corrélées).

Figure 14 : Architecture d'OSSIM

· EDB est la base de données des évènements (la plus grande), stockant toutes les alarmes individuelles ;

· KDB est la base de données des connaissances, sauvegardant les configurations établies par l'administrateur en charge de la sécurité ;

· UDB est la base de données des profils, stockant toutes les informations du moniteur de profil.

47

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Afin d'aider à la compréhension, le cheminement d'une alarme dans l'architecture définie par la figure précédente sera détaillé. Le schéma de la figure 15 illustre le fonctionnement décrit ci-dessous :

1. détection d'un évènement suspect par un détecteur (par signatures ou par l'heuristique).

2. si nécessaire, des alarmes sont regroupées (par le détecteur) afin de diminuer le trafic réseau.

3. le collecteur reçoit la/les alarme(s) via différents protocoles de communications ouverts.

4. le parseur normalise et sauvegarde les alarmes dans la base de données d'évènements (EDB).

5. le parseur assigne une priorité aux alarmes reçues en fonction de la configuration des politiques de sécurité définies par l'administrateur sécurité.

6. le parseur évalue le risque immédiat représenté par l'alarme et envoie si nécessaire une alarme interne au `'panneau de contrôle».

7. l'alerte est maintenant envoyée à tous les processus de corrélation qui mettent à jour leurs états et envoient éventuellement une alerte interne plus précise (groupe d'alerte provenant de la corrélation) au module de centralisation.

8. le moniteur de risque affiche périodiquement l'état de chaque risque calcules par les algorithmes heuristiques.

9. le panneau de contrôle affiche les alarmes les plus récentes et met à jour les indices des états qui sont comparés aux seuils définis par l'administrateur. Si les indices sont supérieurs aux seuils configurés, une alarme interne est émise.

10. depuis le panneau de contrôle, l'administrateur a la possibilité de visualiser et rechercher des liens entre les différentes alarmes à l'aide de la console forensic.

Figure 15 : Flux de données du serveur OSSIM

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

3.9.5. Mode de fonctionnement d'OSSIM

Le schéma de la figure 16 explique le comportement d'une installation OSSIM dans un réseau. Quand il est déployé, un serveur OSSIM commence par faire un scan complet du réseau pour détecter et localiser ses utilisateurs. C'est l'étape de « l'assets discovering ». Son travail débutera vraiment quand il commencera par respecter les lignes directrices et de définition d'un S.I.E.M. Ses traits caractéristiques sont :

LMS (Log Management System). C'est un système qui collecte et conserve des fichiers d'enregistrement log (des systèmes d'exploitation, applications...) de plusieurs hôtes et systèmes de manière centralisée. Il peut permettre l'accès à ces données sur un serveur central ou depuis chacun des systèmes.

SLM/SEM (Security Log/Event Management). C'est un système un peu comme un LMS, mais commercialisé vers des analystes de sécurité plutôt que des administrateurs système. SEM consiste à mettre en évidence les entrées de journal comme étant plus importantes pour la sécurité que d'autres.

SIM (Security Information Management). C'est un système de gestion d'actifs, mais avec des fonctionnalités pour intégrer des informations de sécurité aussi. Les hôtes peuvent avoir des rapports de vulnérabilité répertoriés dans leurs résumés, les alertes de détection d'intrusion et d'antivirus peuvent être montrées mappées aux systèmes concernés.

SEC (Security Event Corrélation). Pour un logiciel particulier, trois tentatives de connexion échouées au même compte d'utilisateur provenant de trois clients distincts ne sont que trois lignes dans leur fichier journal. Pour un analyste, il s'agit d'une séquence particulière d'événements dignes d'investigation, et de log Corrélation (recherche de motifs dans les journaux), ce qui est un moyen d'augmenter les alertes lorsque ces choses se produisent.

48

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

49

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 16 : Représentation du fonctionnement d'OSSIM en environnement de

production

OSSIM dispose de logiciels servant d'agents et d'un autre qui sert de serveur. OSSIM-agent récupère simplement les informations des fichiers de journalisation et les envoie directement au serveur OSSIM permettant ainsi le traitement temps réel de celles-ci. De plus, l'agent OSSIM s'occupera de la mise en marche et de l'arrêt des différentes sondes qui lui sont connectées. OSSIM-server constitue le noyau de l'architecture. En effet, celui-ci comporte les modules d'analyse et de corrélation des données ainsi qu'un serveur Web permettant l'interaction avec l'utilisateur (administrateur réseau).

3.10. Conclusion

Au cours de ce chapitre, une connaissance des différents aspects liés à la sécurité des réseaux informatiques a été faite ; une découverte des attaques qui menacent cette dernière et comment se protéger afin de réduire les intrusions et attaques des pirates a été effectuée ; une étude des S.I.E.M. a été aussi faite de même qu'une présentation de l'outil de la mise en place qui est AlienVault OSSIM. La sécurité des systèmes informatiques est vitale pour le bon fonctionnement des systèmes d'information. Il est donc nécessaire d'assurer sa protection. Dans le chapitre suivant, la mise en place du S.I.E.M. sera effectuée.

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

50

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

51

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

4.1. Introduction

Dans le cadre de ce chapitre l'architecture proposée sera présentée, ainsi que la mise en place de tous les équipements informatiques d'une architecture type et la mise en valeur de la configuration des logiciels libres et à codes sources ouverts de la sécurité informatique.

4.2. Nouvelle architecture

Afin de remédier aux diverses lacunes du réseau de « BANKeVI GROUPE », il s'avère

nécessaire de penser à améliorer l'architecture du réseau déjà existant, pour offrir un niveau de sécurité bien meilleur que le précédent. Ainsi une nouvelle architecture du réseau différente de l'ancienne a été proposée, comme le montre la figure 17 :

Figure 17 : Nouvelle architecture de « BANKeVI GROUPE »

Comme le montre la figure, une topologie en étoile a été retenue pour l'implémentation du S.I.E.M. Cette nouvelle architecture présente plusieurs différences par rapport à la figure 5. Cette architecture type peut être mise en place dans les petites entreprises. Elle est composée de différentes parties comme suit :

· La partie interne (le réseau LAN) : On trouve les ordinateurs locaux des personnels de l'entreprise.

· La DMZWEB (DMZ) : On y trouve un serveur DNS et un serveur Jitsi ;

52

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

· DMZMONIT (ou DMZ de supervision du réseau) : On y trouve la machine sur laquelle est installée le S.I.E.M.

· La partie externe : Cette zone nous mène au monde extérieur, « Internet » à travers un pare-feu/routeur.

Une telle architecture a été retenue pour faciliter le travail de supervision et de gestion des évènements au niveau du S.I.E.M. En effet, si le S.I.E.M. est positionné entre le pare-feu et le réseau LAN, il ne s'occupera que des évènements ayant lieu au sein du réseau LAN au détriment de la DMZ. De même, si le S.I.E.M. est positionné entre le pare-feu et la DMZ (DMZWEB), il ne gèrera que les actions qui ont lieu au sein de la DMZ au détriment du réseau LAN. Par contre, si le S.I.E.M. est positionné entre le pare-feu et le réseau internet, le risque de faux positif sera accru, ce qui surchargera le S.I.E.M. d'alertes non urgentes et pourra ainsi réduire des performances. Le positionnement optimal est donc de placer le S.I.E.M. dans un réseau carrément différent, qui lui sera dédié (DMZMONIT). De cette façon, il pourra avoir une vue d'ensemble tant sur les activités ayant lieu au sein du réseau LAN que sur les activités ayant lieu au sein de la DMZ. Ainsi, il pourra protéger ces différents réseaux d'attaques éventuels pouvant survenir.

4.2.1. Avantages de l'architecture retenue

L'architecture en étoile a été retenue en raison des différents avantages qu'elle présente comme :

· souplesse en matière de gestion et de dépannage des pannes ;

· ajout facile de nouveaux terminaux ;

· le débranchement d'une connexion ne paralyse pas le reste du réseau.

4.2.2. Inconvénients de l'architecture retenue

L'architecture en étoile présente, certes de nombreux avantages, mais cette architecture présente également un inconvénient majeur : si le noeud central est défaillant, tout le réseau tombe ainsi en panne. De plus, le périphérique réseau central détermine les performances et le nombre de noeuds que le réseau peut gérer.

4.3. Préparation de l'environnement de travail

Vu l'importance des informations et des services fournis par les serveurs de « BANKeVI

GROUPE », le travail sera effectué dans un environnement virtuel avec `'Virtual Box». Cinq (05) machines virtuelles ont été créées, qui sont :

· VM1 : c'est sur cette machine que sera installé AlienVault OSSIM. Ses caractéristiques sont les suivantes :

53

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Ø Mémoire RAM : 8Go ;

Ø Nombre de processeurs : 2 ;

Ø Disque dur : 20Go ;

Ø Nombre de cartes réseaux : 1.

· VM2 : c'est sur cette machine que sera installé le routeur/pare-feu `'pfsense». Ses caractéristiques sont les suivantes :

Ø Mémoire RAM : 1Go ;

Ø Nombre de processeurs : 1 ;

Ø Disque dur : 20Go ;

Ø Nombre de cartes réseaux : 4.

· VM3 : cette machine sera utilisée comme serveur vulnérable D.V.W.A. (Damn Vulnerable web application). Des scans de vulnérabilité seront effectués sur cette machine afin de tester la fonction d'analyse de vulnérabilités du S.I.E.M. mis en place. Ses caractéristiques sont les suivantes :

Ø Mémoire RAM : 2Go ;

Ø Nombre de processeurs : 1 ;

Ø Disque dur : 20Go ;

Ø Nombre de cartes réseaux : 1 ;

Ø Système d'exploitation : Linux (Ubuntu).

· VM4 : cette machine sera utilisée pour faire des tests d'attaques sur le réseau afin de tester le fonctionnement du S.I.E.M. mis en place. Les caractéristiques de cette machine sont les suivantes :

Ø Mémoire RAM : 1Go ;

Ø Nombre de processeurs : 1 ;

Ø Disque dur : 40Go ;

Ø Nombre de cartes réseaux : 1 (utilisée pour se connecter au réseau) ;

Ø Système d'exploitation : Kali Linux 2019.1.

· VM5 : cette dernière sera utilisée pour simuler un utilisateur normal dans le réseau interne. Ses caractéristiques sont les suivantes :

Ø Mémoire RAM : 1Go ;

Ø Nombre de processeurs : 1 ;

Ø Disque dur : 40Go ;

Ø Nombre de cartes réseaux : 1 (utilisée pour se connecter au réseau) ;

Ø Système d'exploitation : Windows 7 Professional.

4.4. Configuration de pfsense

Le travail a débuté par l'installation le pare-feu dans l'architecture réseau. Puis ses fonctionnalités ont été configurées pour assurer une meilleure activité du trafic réseau. La figure 18 montre l'assignation des interfaces réseaux de pfsense.

54

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 18 : Assignation des interfaces de PfSense

L'on a ensuite assigné les interfaces du pare-feu « PfSense » liées avec les autres réseaux ; cependant l'adresse de l'interface web est 192.168.56.102. Il faut d'abord ouvrir l'interface graphique pour le paramétrage de ce dernier. L'on ouvre par la suite le navigateur web et l'on saisit l'adresse de l'interface. Après avoir écrit le nom d'utilisateur et le mot de passe (admin/pfsense) l'on trouve le tableau de bord comme le montre la figure 19 et l'on obtient donc :

Figure 19 : Tableau de bord de PfSense

55

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Ensuite, des « packages » ont été installés : Les « packages » installés sont : Mod Security + apache, NTOP et SNORT, comme l'indique la figure 20 :

Figure 20 : Les Packages installés

Afin de faciliter la configuration des listes d'accès et d'éviter la redondance des adresses des interfaces, des hôtes et des ports utilisés, des alias ont été désignés, comme l'indique la figure 21 :

Figure 21 : Les alias des interfaces et des ports

56

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Des règles ont été ensuite configurées dans le pare-feu. L'image de la figure 22 présente tout d'abord la configuration des règles de l'interface WAN :

Figure 22 : Les règles de filtrage de l'interface WAN

Les règles de filtrage de l'interface WAN sont faites en vue de permettre le trafic de n'importe quelle adresse source vers la destination D.V.W.A. à travers le port_web (80 et 443).

Ensuite, les règles de filtrage de l'interface DMZWEB ont été configurées, comme l'indique l'image de la figure 23 :

Figure 23 : Les règles de filtrage de l'interface DMZWEB

57

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Les règles de filtrage de l'interface DMZWEB sont les suivantes : Ouvrir le trafic de l'adresse source DMZWEB vers l'interface DMZMONIT par le port_syslog (514 et 1514) et vers l'interface WAN par le port_navig (80, 443, 110, 53 et 25).

Les règles de l'interface DMZMONIT ont été définies comme le montre la figure 24, de la manière suivante :

Figure 24 : Les règles de filtrage de l'interface DMZ-Monit

Les règles de filtrage de l'interface DMZMONIT sont les suivantes : Ouvrir le trafic de l'adresse source DMZMONIT vers l'interface WAN à travers le port_syslog (514 et 1514) et vers l'interface DMZWEB et la partie interne (INT).

Enfin, les règles de l'interface INT ont été définies, comme le montre l'image de la figure 25 :

Figure 25 : Les règles de filtrage de l'interface interne (INT)

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Les règles de filtrage de l'interface INT sont les suivantes : Ouvrir le trafic de l'adresse source INT vers l'interface DMZMONIT à travers le port_syslog (514 et 1514) ainsi que vers l'interface DMZWEB par le port_web (80 et 443) et une liaison à distance par un poste admin et une machine distante « administrateur » par le port_admin (80, 443, 22, 21, 3389).

L'étape suivante a été la configuration du paquet Snort qui a été installé. La figure 26 l'illustre :

Figure 26 : La configuration du paquet Snort

Après l'installation de paquet Snort, il faut obligatoirement le mettre en marche et le configurer. Nous avons ajouté Snort par le bouton « + » dans trois sondes du pare-feu.

Snort exige le téléchargement des règles, qui sont mis à jour par la communauté Snort. L'image de la figure 27 présente la configuration générale de Snort :

58

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

59

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 27 : La configuration générale de Snort

Snort dispose d'une base de données propre à lui, dans le but d'envoyer correctement les logs dont on a besoin pour les alertes par l'outil « Barnyard2 ». La figure 28 montre la configuration de l'outil « Barnyard2 ».

60

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 28 : La configuration de Barnyard2

Il faut aussi configurer le système des journaux et les centraliser pour les envoyer a un serveur bien déterminé, comme l'illustre la figure 29 :

Figure 29 La configuration de système de Logs

61

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

4.5. Configuration de D.V.W.A.

L'on a installé le serveur web vulnérable D.V.W.A. (Damn Vulnerable web application) qui est basé sur le système d'exploitation Linux.

Ensuite l'on a appliqué des attaques web avant et après la configuration du pare-feu « PfSense » pour mettre le point sur la sécurité des systèmes d'information.

La figure 30 représente la page d'accueil du serveur web DVWA :

Figure 30 : Page d'accueil de DVWA

Après avoir installé le serveur web « D.V.W.A. », l'on commence par l'ouvrir et appliquer les attaques web. L'interface web de D.V.W.A. comporte plusieurs attaques web comme l'indique la figure 31 :

Figure 31 : Interface des attaques de DVWA

62

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

4.6. Configuration de la machine Windows 4.6.1. Configuration réseau

La figure 32 montre la configuration des adresses IP de la machine Windows :

Figure 32 : Configuration de l'adresse IP de la machine Windows

4.6.2. Configuration d'OSSEC

La figure 33 représente la communication entre la machine et le serveur OSSIM, pour lui envoyer les « logs » par le pare-feu à travers le port syslog. Il faut donc générer le code de l'authentification d'OSSEC server.

Figure 33 : Configuration d'OSSEC

63

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

4.7. Configuration d'OSSIM

La figure 34 montre l'interface d'OSSIM après installation :

Figure 34 : Interface OSSIM

Après avoir saisi le nom d'utilisateur et le mot de passe définis pour le serveur OSSIM, on obtient, comme le montre la figure 35, l'interface de configuration de base d'OSSIM :

Figure 35 : Interface de configuration de base d'OSSIM

64

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

L'on remarque sur la figure 35 un message stipulant que l'on peut accéder à l'interface graphique d'OSSIM en utilisant l'adresse `' https://192.168.57.101». La figure 36 décrit l'adressage statique de l'adresse IP en mettant comme passerelle l'adresse de l'interface PfSense 192.168.57.102.

Figure 36 : Configuration d'adresse IP de OSSIM

Cette figure 37 présente l'interface graphique d'OSSIM où l'on insert le nom d'utilisateur et le mot de passe :

Figure 37 : Interface graphique d'OSSIM

Afin de simuler le fonctionnement d'OSSIM et d'avoir des évènements provenant de sources
multiples, l'on a ajouté pour un temps très court des machines à notre environnement virtuel.

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Ces machines ont été retranchées après un certain temps, à cause des limites matérielles que présentait la machine qui servait d'hôte aux machines virtuelles. A la figure 38, l'on a le tableau de bord d'OSSIM, comportant plusieurs fonctionnalités.

Figure 38 : Interface web OSSIM

La figure 39 décrit la base de données où sont inscrits les informations générées par défaut et les informations des agents SNORT et OSSEC :

65

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

66

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 39 : Base de données OSSIM

La figure 40 montre les statistiques faites par OSSIM des événements envoyés par les agents HIDS et la liste des agents connectés :

Figure 40 : Statistiques des évènements des agents OSSEC

67

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

La figure 41 représente les règles de SNORT, car il génère quotidiennement des mises à jour des règles de détection d'intrusion :

Figure 41 : « Rules » de Snort

La figure 42 représente une vue globale des packages de monitoring fait par l'outil de supervision de Nagios :

Figure 42 : Tableau de bord de la supervision « Nagios »

68

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

La figure 43 montre la détection qu'effectue OSSIM en temps réel des évènements et informations qui surviennent au sein du système :

Figure 43 : Détection en temps réel d'OSSIM

Afin de pouvoir alerter l'administrateur de certains évènements qui surviennent dans le système, comme des attaques ou des intrusions, l'on a configuré OSSIM pour qu'il puisse envoyer un mail à l'administrateur lorsqu'OSSIM générera des alertes. Les figures 44 et 45 montrent quelques étapes de cette configuration. La figure 44 montre le serveur OSSIM qui a été configuré pour utiliser le protocole SMTP (Simple Mail Transfert Protocol) et le service de messagerie `'Gmail» :

Figure 44 : Configuration du relais de messagerie d'OSSIM

69

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

La figure 45 illustre la configuration qui a été faite pour spécifier les informations que doivent contenir les mails à envoyer ainsi que les adresses mails source et de destination :

Figure 45 : Spécification des informations des messages mails à envoyer par OSSIM

Ensuite, l'on a effectué de brèves analyses de vulnérabilités sur certains hôtes et sur les réseaux de notre système. La figure 46 montre quelques résultats de ces analyses. Ils ont été classés par services et réseaux les plus vulnérables aux moins vulnérables, en fonction de l'architecture réseau définie :

Figure 46 : Résultats d'analyses de vulnérabilités par services et par réseaux

70

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

La figure 47 montre le même classement, mais cette fois-ci, par rapport aux informations recueillies lors de l'analyse de vulnérabilités et par rapport aux hôtes analysés :

Figure 47 : Classement des résultats d'analyse de vulnérabilités par hôtes analysés

La figure 48 montre quelques-unes des vulnérabilités ou anomalies détectées lors des analyses et le degré de priorité de chacune d'elles :

Figure 48 : Anomalies et vulnérabilités détectées sur le système

71

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

4.8. Les tests

Comme décrit précédemment, l'environnement dans lequel le travail a été effectué est un environnement virtuel constitué de 5 machines. L'on va effectuer des tests d'intrusions en local, car, effectuer des attaques depuis internet nécessite des compétences d'un « hacker » ou pirate informatique. Le scénario de l'intrusion se présente comme suit, avec les adresses IP des machines en jeu :

· Machine de l'attaquant (Kali linux) : 172.16.0.8 ;

· Machine de la victime (Windows) : 172.16.0.22.

Nous allons effectuer une attaque nommée « EternalBlue ». EternalBlue est un programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille de sécurité dans un système informatique. Il utilise une faille de sécurité présente dans la première version du protocole SMB (Server Message Block) à travers le port 445. Le protocole SMB est un protocole permettant le partage de ressources (fichier, imprimantes, etc) sur des réseaux locaux avec des machines exécutant le système d'exploitation Windows.

Tout d'abord, nous allons vérifier si la machine de la victime est vulnérable face à cette attaque. Nous allons pour cela effectuer une analyse de vulnérabilité depuis la machine de l'attaquant vers le port 445 de la machine de la victime. La figure 49 montre le résultat : la machine de la victime est vulnérable face à l'attaque « EternalBlue ».

Figure 49 : Résultat du scan de la machine de la victime

72

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Ensuite, nous avons effectué l'attaque sur la machine de la victime. Un fois que l'attaque a réussi, nous avons eu accès à l'invite de commande de la machine de la victime, comme l'illustre la figure 50 :

Figure 50 : Accès à l'invite de commande de la victime

En analysant la figure 50, on se rend compte de l'attaque a eu lieu à 13 :17. La figure 51 nous permet de voir comment OSSIM a réagi face à cette intrusion. Il est à noter que l'heure à laquelle OSSIM a détecté l'intrusion est la même que l'heure à laquelle l'intrusion a effectivement eu lieu (13 :17). Cela confirme la récolte en temps réel des informations et évènements de sécurité par OSSIM.

Figure 51 : Détection en temps réel de l'intrusion par OSSIM

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

On remarque sur cette figure 51 qu'OSSIM a notifié l'heure de l'intrusion, le nom de l'évènement, qui est lié à une intrusion sur le réseau, le nom de l'attaque et du programme malveillant, les adresses IP source et de destination de l'attaque ainsi que les ports source et de destination.

Afin de montrer que l'on a réellement eu accès à la machine de la victime, l'attaquant va créer un dossier depuis sa machine sur la machine de la victime, comme l'indique la figure 52. Le nom du dossier sera `'You've been hacked».

Figure 52 : Création d'un dossier depuis la machine de l'attaquant vers la machine de la

victime

Ensuite, dans le dossier créé, l'on a créé un fichier nommé `'Hacked» dans lequel l'on a inséré le texte `'You get hacked». La figure 53 indique l'exécution de cette opération :

73

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Figure 53 : Création d'un fichier depuis la machine de l'attaquant vers la victime

A présent, nous allons vérifier si effectivement le dossier a été créés sur la machine de la victime et à quel moment.

Figure 54 : Vérification de la création du dossier sur la machine de la victime

74

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

75

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Vérifions si le fichier `'Hacked» a été créé sur la machine de la victime.

Figure 55 : Vérification de la création du fichier sur la machine de la victime

Comme l'indique la figure 54, le dossier `'You've been hacked» a été créé sur la machine de la victime. Une analyse de l'heure de la création du dossier mentionnée sur la figure 54 et de l'heure à laquelle l'opération a été effectuée chez l'attaquant (voir figure 52) montre la simultanéité de l'opération chez l'attaquant et la victime.

La même analyse (figure 53 et figure 55) permet de parvenir à la même conclusion en rapport avec le fichier `'Hacked».

L'on constate ainsi que l'attaquant a effectivement eu accès à la machine de la victime. D'un autre côté, OSSIM a généré une alerte face à cette intrusion détectée sur le réseau local.

4.9. Résultat final du déploiement

Pour ce qui concerne le travail effectué, l'on a commencé par installer tous les logiciels de sécurité des équipements d'information proposés au début de ce chapitre. Notre choix technique est porté sur le SIEM « AlienVault OSSIM » qui représente le coeur du système. Nous avons installé le système de détection d'intrusion réseau « SNORT », mais aussi configuré des règles de filtrages afin d'assurer la bonne communication entre les différentes machines et serveurs. Nous avons aussi installé « SNORT » sur les sondes du DMZWEB « 192.168.56.0 /24 » et sur la partie interne « INT » « 172.16.0.0 » pour minimiser la marge des erreurs et les intrusions. Ensuite nous avons installé des systèmes de détection d'intrusion H.I.D.S. dites OSSEC pour les hôtes (serveur web, machine Windows) qui contrôlent les activités de la machine. Les logs de ces diverses solutions seront transmis vers le serveur « OSSIM » à travers l'interface du pare-feu « pfsense » par le biais des ports « syslog » (514 ; 1514). OSSIM est inscrit dans le DMZMONIT et il contient non seulement plusieurs sous-serveurs faisant référence aux agents mais aussi un outil de supervision « NAGIOS ». Les tests ont montré qu'OSSIM a joué le rôle

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

pour lequel il a été choisi : il a détecté les différents évènements en temps réel survenus sur le système et surtout, il a détecté l'intrusion que nous avons simulé et à donner les informations relatives à celle-ci, ce qui alertera les responsables du système informatique de l'entreprise et permettra une intervention par rapport à cette intrusion détectée.

4.10. Evaluation financière

Afin de pouvoir réussir ce projet, l'évaluation des coûts s'avère nécessaire. Les coûts ont été évalués en tenant compte des ressources matérielles, de la main d'oeuvre (coûts liés à l'implémentation) et de la formation des utilisateurs du système. Les coûts liés à l'implémentation ont été établis en tenant compte de la durée exacte de la mise en place du système et non de la durée du stage. Pour les coûts de la formation, ils sont liés à la formation

des administrateurs réseaux de BANKeVI GROUPE sur AlienVault OSSIM.

Nous proposons un Serveur HPE ProLiant DL60 Gen9 avec les caractéristiques suivantes :

· 8 Go DIMM de type DDR4 SmartMemory ;

· Processeur Intel Xeon E5-2609v4 1.7 GHz ;

· 20 Mo de mémoire cache avec six coeurs pour des performances optimisées ;

· Un kit d'alimentation HPE 550W intégré en usine.

Ø Coût lié à l'achat du matériel :

Tableau 2 : Achat des matériels

76

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

77

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Ø Coûts liés à l'implémentation :

Tableau 3 : Coût de l'implémentation

Ø Coûts liés à la formation :

Tableau 4 : Coûts de la formation de l'administrateur système

Ø Coût lié à la maintenance

Tableau 5 : Coût d'entretien du serveur

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »

Ø Évaluation du coût total du Projet

Le coût de la réalisation du projet est la somme des coûts liés à l'achat des matériels, coûts liés à l'implémentation, coûts liés à la formation sur l'utilisation d'OSSIM et les coûts liés à l'entretien du système mis en place.

Ce qui fait que le coût du projet s'élève à 2.552.500 FCFA.

4.11. Conclusion

Ce chapitre contient la création de l'architecture d'un réseau type ainsi que la configuration des solutions des logiciels libres pour ainsi faire le déploiement du réseau. Il a présenté également une évaluation financière totale du projet.

78

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

79

Mémoire de Licence - MRI KUAOVI KOKO E. O. / CIC - UL

Etude et mise en place d'un S.I.E.M. (Security Information and Event Management) Open Source :
cas de « BANKeVI GROUPE »